Κατάχρηση του remote control feature του Zoom για κλοπή crypto
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση του remote control feature του Zoom για κλοπή crypto
https://www.secnews.gr/646638/kataxrisi-remote-control-feature-zoom-klopi-crypto/
Apr 23rd 2025, 15:45
by Digital Fortress
Μια ομάδα κυβερνοεγκληματιών που αυτοαποκαλείται «Elusive Comet» στοχεύει άτομα που ασχολούνται με τα crypto, αξιοποιώντας τεχνικές κοινωνικής μηχανικής. Οι επιθέσεις τους βασίζονται στη λειτουργία remote control του Zoom, με στόχο να παραπλανήσουν τα θύματα και να αποκτήσουν πρόσβαση στους υπολογιστές τους.
Η συγκεκριμένη λειτουργία του Zoom δίνει τη δυνατότητα σε κάποιον από τους συμμετέχοντες μιας τηλεδιάσκεψης να πάρει τον έλεγχο του υπολογιστή άλλου συμμετέχοντα, εφόσον του δοθεί σχετική άδεια.
Η εταιρεία κυβερνοασφάλειας Trail of Bits, η οποία διερεύνησε αυτή την εκστρατεία εξαπάτησης, αναφέρει ότι οι τακτικές που χρησιμοποιούν οι δράστες θυμίζουν εκείνες της διαβόητης ομάδας Lazarus, υπεύθυνης για την τεράστια κλοπή ύψους 1,5 δισεκατομμυρίου δολαρίων από την πλατφόρμα Bybit.
Σύμφωνα με την αναφορά της Trail of Bits, η Elusive Comet ακολουθεί μια προσέγγιση παρόμοια με εκείνη του περιστατικού της Bybit, όπου αντί να εκμεταλλευτούν τεχνικά κενά ασφαλείας, οι επιτιθέμενοι παραποιούσαν νόμιμες διαδικασίες και workflows.
Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode μολύνουν τα Windows με cryptominer
Ψεύτικες συνεντεύξεις μέσω Zoom
Η Trail of Bits εντόπισε αυτή τη νέα εκστρατεία αφού οι επιτιθέμενοι προσπάθησαν να προσεγγίσουν τον CEO της εταιρείας στέλνοντάς του προσωπικά μηνύματα στην πλατφόρμα X (πρώην Twitter).
Η επίθεση ξεκινά με μια πλαστή πρόσκληση για συνέντευξη με το υποτιθέμενο "Bloomberg Crypto", η οποία αποστέλλεται μέσω ψεύτικων λογαριασμών στο X ή μέσω email από διευθύνσεις που μοιάζουν επίσημες (π.χ. bloombergconferences[@]gmail.com).
Οι λογαριασμοί αυτοί παριστάνουν δημοσιογράφους που ειδικεύονται στα crypto ή εργάζονται σε μέσα του Bloomberg και χρησιμοποιούν πλατφόρμες κοινωνικής δικτύωσης για να προσεγγίσουν τα υποψήφια θύματα με φαινομενικά αθώες προτάσεις συνέντευξης.
Οι επιτήδειοι χρησιμοποιούν πλατφόρμες όπως το Calendly για να στείλουν αυθεντικές προσκλήσεις Zoom στους στόχους τους. Δεδομένου ότι και οι σύνδεσμοι του Calendly και του Zoom είναι επίσημοι και λειτουργούν φυσιολογικά, το θύμα δύσκολα υποψιάζεται κακόβουλη πρόθεση.
Κατά τη διάρκεια της συνάντησης στο Zoom, ο δράστης ξεκινά ένα screen-sharing session και υποβάλλει αίτημα απομακρυσμένου ελέγχου (remote control) στον συμμετέχοντα.
Το τέχνασμα εδώ είναι ότι ο εισβολέας αλλάζει το όνομα του προφίλ του στο Zoom σε "Zoom", έτσι ώστε όταν αποσταλεί το αίτημα ελέγχου, το μήνυμα να φαίνεται σαν να προέρχεται από την ίδια την εφαρμογή – π.χ. «Το Zoom ζητά τηλεχειρισμό της οθόνης σας». Αυτό δημιουργεί την ψευδαίσθηση ότι πρόκειται για επίσημο και αξιόπιστο αίτημα.
Μόλις ο χρήστης αποδεχτεί, ο εισβολέας αποκτά πλήρη απομακρυσμένο έλεγχο του υπολογιστή, με δυνατότητα να υποκλέψει ευαίσθητα δεδομένα, να εγκαταστήσει κακόβουλο λογισμικό, να περιηγηθεί σε αρχεία ή ακόμα και να πραγματοποιήσει οικονομικές συναλλαγές, όπως αποστολή κρυπτονομισμάτων.
Δείτε επίσης: Συλλήψεις ατόμων για επενδυτική crypto απάτη μέσω AI
Επιπλέον, ο επιτιθέμενος μπορεί να εγκαταστήσει μόνιμα εργαλεία παρακολούθησης (backdoors) ώστε να έχει πρόσβαση στο μέλλον, ακόμα και μετά την αποσύνδεσή του. Συχνά, το θύμα δεν αντιλαμβάνεται καν ότι το σύστημά του έχει παραβιαστεί.
Όπως τονίζει η Trail of Bits, αυτό που καθιστά τη συγκεκριμένη επίθεση τόσο επικίνδυνη είναι ότι το μήνυμα του Zoom μοιάζει με τις συνήθεις ειδοποιήσεις της εφαρμογής, κάτι που αποσπά την προσοχή και εφησυχάζει τον χρήστη.
Άτομα που έχουν συνηθίσει να πατούν «Έγκριση» σε αιτήματα της πλατφόρμας, μπορεί άθελά τους να παραδώσουν τον πλήρη έλεγχο του υπολογιστή τους.
Για προστασία απέναντι σε τέτοιες απειλές, η Trail of Bits προτείνει την υιοθέτηση προφίλ PPPC (Privacy Preferences Policy Control), που περιορίζουν την πρόσβαση σε κρίσιμες λειτουργίες του συστήματος, όπως η προσβασιμότητα.
Για περιβάλλοντα υψηλής ασφάλειας και οργανισμούς που διαχειρίζονται πολύτιμα ψηφιακά στοιχεία, προτείνεται η πλήρης απομάκρυνση του Zoom από τα συστήματα.
Το συγκεκριμένο είδος απειλής (social engineering μέσω πλατφορμών τηλεδιάσκεψης) είναι ιδιαίτερα ύπουλο γιατί δεν εκμεταλλεύεται τεχνικά κενά, αλλά την ανθρώπινη συμπεριφορά. Επομένως, απαιτείται μια πολυεπίπεδη προσέγγιση στην ασφάλεια:
Εκπαίδευση και Ενημέρωση Προσωπικού
• Εκπαίδευση στην αναγνώριση απάτης μέσω Zoom: Οι χρήστες πρέπει να ξέρουν ότι το Zoom ποτέ δεν θα ζητήσει απομακρυσμένο έλεγχο.
• Simulated phishing exercises: Εκπαιδευτικές επιθέσεις για να ελέγξετε την ετοιμότητα των χρηστών.
• "Think before you click" κουλτούρα: Ενθαρρύνετε τους υπαλλήλους να αμφισβητούν τα πάντα, ειδικά αιτήματα που σχετίζονται με έλεγχο οθόνης ή προσωπικά δεδομένα.
Τεχνικά Μέτρα
• Απενεργοποίηση απομακρυσμένου ελέγχου από τις ρυθμίσεις Zoom διαχειριστή (admin console).
• Καθολική εφαρμογή MFA (Multi-Factor Authentication) σε όλα τα συστήματα.
• PPPC (Privacy Preferences Policy Control) σε macOS συστήματα: Απαγόρευση παροχής απομακρυσμένου ελέγχου χωρίς φυσική πρόσβαση ή διαχειριστική έγκριση.
• Endpoint Detection and Response (EDR) εργαλεία για καταγραφή και μπλοκάρισμα ύποπτης δραστηριότητας, π.χ. παράξενες ενέργειες μετά από απομακρυσμένο session.
Δείτε επίσης: Cryptomining καμπάνια στοχεύει PostgreSQL servers
Διαχείριση Λογισμικού και Πρόσβασης
• Κατάργηση Zoom από κρίσιμα συστήματα και χρήση εναλλακτικών με μεγαλύτερο έλεγχο ασφαλείας (π.χ. Microsoft Teams με ενισχυμένες πολιτικές).
• Χρήση guest μηχανημάτων ή sandboxing για εξωτερικές κλήσεις (π.χ. συνεντεύξεις, συνεργασίες).
• Αποκλεισμός εγκατάστασης λογισμικού από μη εξουσιοδοτημένους χρήστες.
Διαχείριση Πληροφοριών και Κρίσεων
• Σχέδιο αντιμετώπισης περιστατικών (Incident Response Plan) με σενάρια τύπου "Zoom hijack".
• Τακτικά ελεγχόμενα backups για άμεση ανάκτηση μετά από πιθανή παραβίαση.
• Καταγραφή και έλεγχος όλων των συνεδριών κοινής χρήσης οθόνης.
Επαλήθευση ταυτότητας προσκεκλημένων
• Επαλήθευση με δεύτερο κανάλι επικοινωνίας (π.χ. τηλεφώνημα ή εταιρικό email) για σημαντικές συναντήσεις ή συνεντεύξεις.
• Αυτόματη σήμανση εξωτερικών emails (π.χ. "External sender") για να αποφεύγονται spoofed domains όπως "bloombergconferences@gmail.com".
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση του remote control feature του Zoom για κλοπή crypto
https://www.secnews.gr/646638/kataxrisi-remote-control-feature-zoom-klopi-crypto/
Apr 23rd 2025, 15:45
by Digital Fortress
Μια ομάδα κυβερνοεγκληματιών που αυτοαποκαλείται «Elusive Comet» στοχεύει άτομα που ασχολούνται με τα crypto, αξιοποιώντας τεχνικές κοινωνικής μηχανικής. Οι επιθέσεις τους βασίζονται στη λειτουργία remote control του Zoom, με στόχο να παραπλανήσουν τα θύματα και να αποκτήσουν πρόσβαση στους υπολογιστές τους.
Η συγκεκριμένη λειτουργία του Zoom δίνει τη δυνατότητα σε κάποιον από τους συμμετέχοντες μιας τηλεδιάσκεψης να πάρει τον έλεγχο του υπολογιστή άλλου συμμετέχοντα, εφόσον του δοθεί σχετική άδεια.
Η εταιρεία κυβερνοασφάλειας Trail of Bits, η οποία διερεύνησε αυτή την εκστρατεία εξαπάτησης, αναφέρει ότι οι τακτικές που χρησιμοποιούν οι δράστες θυμίζουν εκείνες της διαβόητης ομάδας Lazarus, υπεύθυνης για την τεράστια κλοπή ύψους 1,5 δισεκατομμυρίου δολαρίων από την πλατφόρμα Bybit.
Σύμφωνα με την αναφορά της Trail of Bits, η Elusive Comet ακολουθεί μια προσέγγιση παρόμοια με εκείνη του περιστατικού της Bybit, όπου αντί να εκμεταλλευτούν τεχνικά κενά ασφαλείας, οι επιτιθέμενοι παραποιούσαν νόμιμες διαδικασίες και workflows.
Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode μολύνουν τα Windows με cryptominer
Ψεύτικες συνεντεύξεις μέσω Zoom
Η Trail of Bits εντόπισε αυτή τη νέα εκστρατεία αφού οι επιτιθέμενοι προσπάθησαν να προσεγγίσουν τον CEO της εταιρείας στέλνοντάς του προσωπικά μηνύματα στην πλατφόρμα X (πρώην Twitter).
Η επίθεση ξεκινά με μια πλαστή πρόσκληση για συνέντευξη με το υποτιθέμενο "Bloomberg Crypto", η οποία αποστέλλεται μέσω ψεύτικων λογαριασμών στο X ή μέσω email από διευθύνσεις που μοιάζουν επίσημες (π.χ. bloombergconferences[@]gmail.com).
Οι λογαριασμοί αυτοί παριστάνουν δημοσιογράφους που ειδικεύονται στα crypto ή εργάζονται σε μέσα του Bloomberg και χρησιμοποιούν πλατφόρμες κοινωνικής δικτύωσης για να προσεγγίσουν τα υποψήφια θύματα με φαινομενικά αθώες προτάσεις συνέντευξης.
Οι επιτήδειοι χρησιμοποιούν πλατφόρμες όπως το Calendly για να στείλουν αυθεντικές προσκλήσεις Zoom στους στόχους τους. Δεδομένου ότι και οι σύνδεσμοι του Calendly και του Zoom είναι επίσημοι και λειτουργούν φυσιολογικά, το θύμα δύσκολα υποψιάζεται κακόβουλη πρόθεση.
Κατά τη διάρκεια της συνάντησης στο Zoom, ο δράστης ξεκινά ένα screen-sharing session και υποβάλλει αίτημα απομακρυσμένου ελέγχου (remote control) στον συμμετέχοντα.
Το τέχνασμα εδώ είναι ότι ο εισβολέας αλλάζει το όνομα του προφίλ του στο Zoom σε "Zoom", έτσι ώστε όταν αποσταλεί το αίτημα ελέγχου, το μήνυμα να φαίνεται σαν να προέρχεται από την ίδια την εφαρμογή – π.χ. «Το Zoom ζητά τηλεχειρισμό της οθόνης σας». Αυτό δημιουργεί την ψευδαίσθηση ότι πρόκειται για επίσημο και αξιόπιστο αίτημα.
Μόλις ο χρήστης αποδεχτεί, ο εισβολέας αποκτά πλήρη απομακρυσμένο έλεγχο του υπολογιστή, με δυνατότητα να υποκλέψει ευαίσθητα δεδομένα, να εγκαταστήσει κακόβουλο λογισμικό, να περιηγηθεί σε αρχεία ή ακόμα και να πραγματοποιήσει οικονομικές συναλλαγές, όπως αποστολή κρυπτονομισμάτων.
Δείτε επίσης: Συλλήψεις ατόμων για επενδυτική crypto απάτη μέσω AI
Επιπλέον, ο επιτιθέμενος μπορεί να εγκαταστήσει μόνιμα εργαλεία παρακολούθησης (backdoors) ώστε να έχει πρόσβαση στο μέλλον, ακόμα και μετά την αποσύνδεσή του. Συχνά, το θύμα δεν αντιλαμβάνεται καν ότι το σύστημά του έχει παραβιαστεί.
Όπως τονίζει η Trail of Bits, αυτό που καθιστά τη συγκεκριμένη επίθεση τόσο επικίνδυνη είναι ότι το μήνυμα του Zoom μοιάζει με τις συνήθεις ειδοποιήσεις της εφαρμογής, κάτι που αποσπά την προσοχή και εφησυχάζει τον χρήστη.
Άτομα που έχουν συνηθίσει να πατούν «Έγκριση» σε αιτήματα της πλατφόρμας, μπορεί άθελά τους να παραδώσουν τον πλήρη έλεγχο του υπολογιστή τους.
Για προστασία απέναντι σε τέτοιες απειλές, η Trail of Bits προτείνει την υιοθέτηση προφίλ PPPC (Privacy Preferences Policy Control), που περιορίζουν την πρόσβαση σε κρίσιμες λειτουργίες του συστήματος, όπως η προσβασιμότητα.
Για περιβάλλοντα υψηλής ασφάλειας και οργανισμούς που διαχειρίζονται πολύτιμα ψηφιακά στοιχεία, προτείνεται η πλήρης απομάκρυνση του Zoom από τα συστήματα.
Το συγκεκριμένο είδος απειλής (social engineering μέσω πλατφορμών τηλεδιάσκεψης) είναι ιδιαίτερα ύπουλο γιατί δεν εκμεταλλεύεται τεχνικά κενά, αλλά την ανθρώπινη συμπεριφορά. Επομένως, απαιτείται μια πολυεπίπεδη προσέγγιση στην ασφάλεια:
Εκπαίδευση και Ενημέρωση Προσωπικού
• Εκπαίδευση στην αναγνώριση απάτης μέσω Zoom: Οι χρήστες πρέπει να ξέρουν ότι το Zoom ποτέ δεν θα ζητήσει απομακρυσμένο έλεγχο.
• Simulated phishing exercises: Εκπαιδευτικές επιθέσεις για να ελέγξετε την ετοιμότητα των χρηστών.
• "Think before you click" κουλτούρα: Ενθαρρύνετε τους υπαλλήλους να αμφισβητούν τα πάντα, ειδικά αιτήματα που σχετίζονται με έλεγχο οθόνης ή προσωπικά δεδομένα.
Τεχνικά Μέτρα
• Απενεργοποίηση απομακρυσμένου ελέγχου από τις ρυθμίσεις Zoom διαχειριστή (admin console).
• Καθολική εφαρμογή MFA (Multi-Factor Authentication) σε όλα τα συστήματα.
• PPPC (Privacy Preferences Policy Control) σε macOS συστήματα: Απαγόρευση παροχής απομακρυσμένου ελέγχου χωρίς φυσική πρόσβαση ή διαχειριστική έγκριση.
• Endpoint Detection and Response (EDR) εργαλεία για καταγραφή και μπλοκάρισμα ύποπτης δραστηριότητας, π.χ. παράξενες ενέργειες μετά από απομακρυσμένο session.
Δείτε επίσης: Cryptomining καμπάνια στοχεύει PostgreSQL servers
Διαχείριση Λογισμικού και Πρόσβασης
• Κατάργηση Zoom από κρίσιμα συστήματα και χρήση εναλλακτικών με μεγαλύτερο έλεγχο ασφαλείας (π.χ. Microsoft Teams με ενισχυμένες πολιτικές).
• Χρήση guest μηχανημάτων ή sandboxing για εξωτερικές κλήσεις (π.χ. συνεντεύξεις, συνεργασίες).
• Αποκλεισμός εγκατάστασης λογισμικού από μη εξουσιοδοτημένους χρήστες.
Διαχείριση Πληροφοριών και Κρίσεων
• Σχέδιο αντιμετώπισης περιστατικών (Incident Response Plan) με σενάρια τύπου "Zoom hijack".
• Τακτικά ελεγχόμενα backups για άμεση ανάκτηση μετά από πιθανή παραβίαση.
• Καταγραφή και έλεγχος όλων των συνεδριών κοινής χρήσης οθόνης.
Επαλήθευση ταυτότητας προσκεκλημένων
• Επαλήθευση με δεύτερο κανάλι επικοινωνίας (π.χ. τηλεφώνημα ή εταιρικό email) για σημαντικές συναντήσεις ή συνεντεύξεις.
• Αυτόματη σήμανση εξωτερικών emails (π.χ. "External sender") για να αποφεύγονται spoofed domains όπως "bloombergconferences@gmail.com".
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια